Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Résolution des problèmes de surveillance d’exécution
Vous devrez peut-être résoudre les problèmes ou vérifier que la surveillance d’exécution est activée et exécutée sur vos tâches et vos conteneurs.
**Topics**
+ [Comment savoir si la surveillance d’exécution est active sur mon compte ?](#verify-ecs-runtime-enabled)
+ [Comment savoir si la surveillance d’exécution est active sur un cluster ?](#verify-ecs-runtime-enabled)
+ [Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?](#verify-ecs-runtime-fargate-run)
+ [Comment savoir si l'agent de GuardDuty sécurité s'exécute sur une instance de conteneur EC2 ?](#verify-ecs-runtime-ec2-run)
+ [Que se passe-t-il lorsqu’il n’existe aucun rôle d’exécution de tâche pour une tâche exécutée sur le cluster ?](#no-task-execution-role)
+ [Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance d’exécution ?](#tag-permissions)
+ [Que se passe-t-il en cas d’absence de connexion Amazon ECR ?](#no-ecr-connection)
+ [Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance d’exécution ?](#memory-error)
## Comment savoir si la surveillance d’exécution est active sur mon compte ?
Dans la console Amazon ECS, les informations se trouvent sur la page **Paramètres du compte**.
Vous pouvez également exécuter `list-account-settings` avec l’option `effective-settings`.
```
aws ecs list-account-settings --effective-settings
```
Output
Le paramètre dont le **nom** est défini sur `guardDutyActivate` et la **valeur** sur `on` indique que le compte est configuré. Vous devez vérifier auprès de votre GuardDuty administrateur si la gestion est automatique ou manuelle.
```
{
"setting": {
"name": "guardDutyActivate",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:root",
"type": "aws-managed"
}
}
```
## Comment savoir si la surveillance d’exécution est active sur un cluster ?
Vous pouvez consulter les statistiques de couverture dans la GuardDuty console. Cela inclut les informations relatives aux ressources Amazon ECS associées à votre propre compte ou à vos comptes membres, soit le pourcentage de clusters sains par rapport à l’ensemble des clusters dans l’ Région AWS sélectionnée. Cela inclut la couverture des clusters utilisant le Fargate et. EC2s Pour plus d'informations, consultez la section [Révision des statistiques de couverture](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html#ecs-review-coverage-statistics-ecs-runtime-monitoring) dans le *guide de GuardDuty l'utilisateur Amazon*.
## Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?
L'agent GuardDuty de sécurité fonctionne comme un conteneur annexe pour les tâches Fargate.
Dans la console Amazon ECS, le sidecar s’affiche sous **Conteneurs** sur la page **Détails de la tâche**.
Vous pouvez exécuter `describe-tasks` et rechercher le conteneur dont le **nom** est défini sur `aws-gd-agent` et le **LastStatus** défini sur `RUNNING`.
Voici un exemple de la sortie du cluster par défaut pour la tâche `aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE`.
```
aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE
```
Output
Le conteneur nommé `gd-agent` est dans l’état `RUNNING`.
```
"containers": [
{
"containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE",
"taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE",
"lastStatus": "RUNNING",
"healthStatus": "UNKNOWN",
"memory": "string",
"name": "aws-gd-agent"
}
]
```
## Comment savoir si l'agent de GuardDuty sécurité s'exécute sur une instance de conteneur EC2 ?
Exécutez la commande suivante pour afficher l’état :
```
sudo systemctl status amazon-guardduty-agent
```
Le fichier journal se trouve à l’emplacement suivant :
```
/var/log/amzn-guardduty-agent
```
## Que se passe-t-il lorsqu’il n’existe aucun rôle d’exécution de tâche pour une tâche exécutée sur le cluster ?
Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.
## Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance d’exécution ?
Pour étiqueter un cluster, vous devez avoir l’action `ecs:TagResource` à la fois pour `CreateCluster` et `UpdateCluster`.
L’extrait suivant représente un exemple de politique.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction" : "CreateCluster",
"ecs:CreateAction" : "UpdateCluster",
}
}
}
]
}
```
## Que se passe-t-il en cas d’absence de connexion Amazon ECR ?
Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.
## Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance d’exécution ?
L'agent GuardDuty de sécurité est un processus léger. Cependant, le processus consomme toujours des ressources en fonction de l’importance de la charge de travail. Nous vous recommandons d'utiliser des outils de suivi des ressources des conteneurs, tels que Amazon CloudWatch Container Insights, pour organiser GuardDuty les déploiements dans votre cluster. Ces outils vous aident à découvrir le profil de consommation de l'agent de GuardDuty sécurité pour vos applications. Vous pouvez ensuite ajuster la taille de votre tâche Fargate, si nécessaire, pour éviter tout risque de manque de mémoire.